我需要在我的环境中设置审核,特别是文件完整性监控。我试过操作系统安全评估中心,但发现它很麻烦。后来我发现auditd(已经安装在我的 CentOS 6 系统上)它是一个简单但功能强大的审计解决方案。
我知道命令行工具aureport可以生成 记录的文件更改的统计信息或列表auditd,而且它运行良好。但是,我目前有大约 100 台 Linux 主机,需要找到一种更顺畅的方式来提醒关键文件的更改。有没有开源报告工具或仪表板可以汇总auditd网络上的多个主机?我在网上搜索时没有看到任何东西,github。
作为奖励,将 auditd 报告的文件更改与来自 puppetmaster/puppetDB 主机的 puppet 报告的文件更改报告相结合会很方便,以显示预期的更改而不是触发警报或显示在报告中。
关于此文件完整性监控主题的现有解决方案或提示有什么建议吗?
答案1
auditd 的最新版本有一个调度程序,支持将事件发送到 syslog,因此您可以通过集中式日志记录系统执行处理(假设您有一个)。
编辑:puppet 支持 syslog 作为日志目标,因此您也可以在那里进行关联。